NASA、制御システムのIT化に伴う対策不足を指摘される
2017年2月12日 21:35
米航空宇宙局(NASA)の重要な制御システムのセキュリティについて、NASA監察総監室(OIG)が監査結果を公表している(リポート: PDF、V3の記事)。 従来の運用技術(OT)は人の手による直接的な操作が中心となっていたが、近年ではデバイスの「スマート」化が進み、ITインフラを通じた操作の導入が進んでいる。NASAにおけるOTシステムはロケット推進テストシステムや宇宙船制御・通信システム、地上の支援設備など重要なインフラを数多く制御しており、物理的なセキュリティ対策に加え、サイバーセキュリティ対策の重要性が増している。 しかし、NASAではOTを適切に定義しておらず、設備の管理システムや保護計画なども作られていないという。ITとOTの区分も明確になっていないため、OTに特化したトレーニングなどは行われず、OTシステムに対してITシステム向けのセキュリティ対策をそのまま適用することによるトラブルも発生しているそうだ。 たとえば、大型電気炉の温度管理を行うOTシステム稼働中、セキュリティパッチが適用されたコンピューターが再起動し、温度調整ソフトウェアが動作しなくなったことで火災が発生。再起動でアラーム機能も動作しなかったため、職員が発見するまで3時間半を要し、内部に置かれていた宇宙船のハードウェアが破損したとのこと。脆弱性スキャンが開始されたことで地球軌道上の宇宙機との通信が失われ、次の軌道通過までデータが収集できないトラブルも発生したという。 監査の結果、OIGではOTシステムの範囲を明確にし、セキュリティ計画や組織全体で協調的にセキュリティ対策を行うためのフレームワークを策定すること、OTシステムに特化したトレーニングを実施することなどを勧告している。